[HREF-tech] OpenSSL sebezhetőség

Kristof Bajnok bajnokk at niif.hu
2014. Ápr. 9., Sze, 17:11:20 CEST 

Kedves HREF tagok!

Valószínűleg hallottatok már a "Heartbleed" névre elnevezett OpenSSL
sebezhetőségről. Ha még nem, egy rövid leírást itt találtok:
https://www.niif.hu/niif_intezet/aktualitasok/heartbleed, hosszabbat
itt: http://heartbleed.com/

Ha még nem tettétek volna meg, *most azonnal* frissítsétek az openssl
csomagot, ha sérülékeny verziót futtattok, és indítsátok újra a
szükséges alkalmazásokat! Létezik nyilvános exploit!

Sajnos ez a hiba a föderációkat különösen is érinti. A jelenlegi
ismereteinket megpróbálom összefoglalni. Természetesen csak abban az
esetben érint a hiba, ha az adott komponens a sérülékeny OpenSSL verziót
futtatta, pl. RedHat 6, Debian wheezy, stb.


1. Shibboleth IdP
-----------------

Ha az IdP Apache webszerver mögött futott (ajp_proxy megoldással), akkor
az alábbi titkos adatok kompromittálódtak:
 - felhasználói jelszavak
 - TLS privát kulcs (és a nyilvános, ismert CA által aláírt tanúsítvány)

Amennyiben az IdP ténylegesen elérhető a SOAP végpontokon (általában a
8443-as porton), akkor ezen felül kompromittálódott a föderációban
használatos kulcspár is.

Tudomásunk szerint a Java-alapú konténerek nem érintettek a hibában, így
aki közvetlenül Jetty-vel vagy Tomcattel szolgálja ki a kéréseket, az
valószínűleg nem kompromittálódott.


2. Shibboleth SP
----------------

A Windows platformon futó Shibboleth SP sérülékeny OpenSSL-t használ,
ezt rövid időn belül frissíteni kell.

Egyéb platformokon elsősorban a webszerver tanúsítványa
kompromittálódhatott. Fennáll az esélye annak, hogy a föderációs
kulccsal is visszaélhettek, de ehhez előtte egy föderációs IdP
végpontját is meg kellett tudniuk személyesíteni. Ez a fentiek alapján
korántsem lehetetlen (hiszen a privát kulcs ellopható volt!), ezért
indokolt lehet az SP-k föderációs kulcsainak cseréje is.


3. SimpleSAMLphp IdP
--------------------

Amennyiben a PHP a webszerveren belül fut (mod_php), akkor itt minden
kompromittálódott:
 - föderációs kulcs
 - külső (nyilvános) tanúsítvány és a hozzá tartozó titkos kulcs
 - felhasználói jelszavak
 - LDAP/SQL kapcsolat paraméterei, stb

Ha a PHP CGI módban fut (fastcgi, stb), akkor az alábbiak:
 - külső (nyilvános) tanúsítvány és a hozzá tartozó titkos kulcs
 - felhasználói jelszavak


4. SimpleSAMLphp SP
-------------------

Amennyiben a PHP a webszerveren belül fut (mod_php), akkor
kompromittálódott:
 - föderációs kulcs
 - külső (nyilvános) tanúsítvány és a hozzá tartozó titkos kulcs

Ha a PHP CGI módban fut (fastcgi, stb), akkor a PHP alkalmazás nem, csak
a webszerver.


5. Föderációs metadata
----------------------

A metadata aláírás hardver tokent használ, ezért (és még számos más
okból) nem érintett a hibában. Így a föderációs metaadatok megbízhatónak
tekinthetők.


Kérem, vegyétek komolyan ezt a sérülékenységet!
Ha új információ merül fel, továbbítjuk.

Kristóf

Ui.: SimpleSAML információk itt:
https://groups.google.com/forum/#!topic/simplesamlphp/XphXXmVhMVI

További információk a(z) HREF-tech levelezőlistáról